<div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div><div><div><div><div><div><div><div>Greetings,<br><br></div>I am running strongswan 5.3.2 talking to a Windows client.<br></div>At child_sa rekey time the Windows client always fires off 2 requests in parallel,<br></div>one is keepalive and the other rekey_sa. Almost always the 2 messages arrive<br></div>in the wrong order and the connection must be torn down and re-negotiated from start.<br><br></div>This is the log on strongswan side:<br><br>parsed INFORMATIONAL request 10 [ D ]<br>received message ID 10, expected 9. Ignored<br><br>parsed INFORMATIONAL request 11 [ ]<br>received message ID 11, expected 9. Ignored<br><br>. . .<br><br></div>The other vendor insisted the standard allows them to send out multiple messages in parallel.<br></div>rfc7296 section 2.3 "Window Size for Overlapping Requests" states that a peer can send out<br></div>multiple messages without waiting for reply if it had received a SET_WINDOW_SIZE notification<br></div>and the size is greater than 1.<br><br></div>rfc7296 also states this:<br></div></div><pre>The INVALID_MESSAGE_ID notification is sent when an IKE Message ID
   outside the supported window is received.  This Notify message
   MUST NOT be sent in a response; the invalid request MUST NOT be
   acknowledged...</pre></div></div>Can strongswan development team confirm whether window size is greater than 1?<br></div>If strongswan never sends such notify message, how come there is not INVALID_MESSAGE_ID<br></div>notification message? Is it optional?<br><br></div>Thanks<br></div>Simon<br></div>